《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》

1、GB17859-1999 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則發(fā)布時間： 2009-07-23 作者：國家質(zhì)量技術(shù)監(jiān)督局1、范圍本標(biāo)準(zhǔn)規(guī)定了計算機信息系統(tǒng)安全保護能力的五個等級 ,即 :第一級 :用戶自主保護級 ;第二級 :系統(tǒng)審計保護級 ;第三級 :安全標(biāo)記保護級 ;第四級 :結(jié)構(gòu)化保護級 ;第五級 :訪問驗證保護級 ;本標(biāo)準(zhǔn)適用于計算機信息系統(tǒng)安全保護技術(shù)能力等級的劃分 .計算機信息系統(tǒng)安全保護能力隨著安全保 護等級的增高 ,逐漸增強 .2、引用標(biāo)準(zhǔn)下列標(biāo)準(zhǔn)所包含的條文 ,通過在標(biāo)準(zhǔn)中引用而構(gòu)成本標(biāo)準(zhǔn)的條文 .本標(biāo)準(zhǔn)出版時 ,所示版本均為有效 .所有 標(biāo)準(zhǔn)都會被修訂 ,使用本標(biāo)準(zhǔn)的各方應(yīng)探討

2、使用下列標(biāo)準(zhǔn)最新版本的可能性 .GB/T5271 數(shù)據(jù)處理詞匯3、定義出本章定義外 ,其他未列出的定義見 GB/T5271.3.1 計算機信息系統(tǒng) computer information system計算機信息系統(tǒng)是由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施 （含網(wǎng)絡(luò) ）構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則 對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng) .3.2 計算機信息系統(tǒng)可信計算基 trusted computing base of computer information system 計算機系統(tǒng)內(nèi)保護裝置的總體，包括硬件、固件、軟件和負責(zé)執(zhí)行安全策略的組合體。它建立了一個基 體的保

3、護環(huán)境并提供一個可信計算系統(tǒng)所要求的附加用戶服務(wù)。3.3 客體 object信息的載體。3.4 主體 subject 引起信息在客體之間流動的人、進程或設(shè)備等。3.5 敏感標(biāo)記 sensitivity label 表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息， 可信計算基中把敏感標(biāo)記作為強制訪問控制決策 的依據(jù)。3.6 安全策略 security policy有關(guān)管理、保護和發(fā)布敏感信息的法律、規(guī)定和實施細則。3.7 信道 channel系統(tǒng)內(nèi)的信息傳輸路徑。3.8 隱蔽信道 covert channel允許進程以危害系統(tǒng)安全策略的方式傳輸信息的通信信道 /3.9 訪問監(jiān)控器 referen

4、ce monitor監(jiān)控器主體和客體之間授權(quán)訪問關(guān)系的部件。4 、等級劃分準(zhǔn)則4.1 第一級 用戶自主保護級本級的計算機信息系統(tǒng)可信計算基通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護的能力。它具有多種 形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護用戶和用戶信息，避免其他用 戶對數(shù)據(jù)的非法讀寫與破壞。4.1.1 自主訪問控制計算機信息系統(tǒng)可信計算基定義和控制系統(tǒng)中命名擁護對命名客體的訪問。實施機制（例如：訪問控制 表）允許命名用戶以用戶和 （或）用戶組的身份規(guī)定并控制客體的共享； 阻止非授權(quán)用戶讀取敏感信息。4.1.2 身份鑒別計算機信息系統(tǒng)可信計算基初始執(zhí)行時， 首先要求用戶

5、標(biāo)識自己的身份， 并使用保護機制 （例如：口令） 來鑒別用戶的身份，阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。4.1.3 數(shù)據(jù)完整性計算機信息系統(tǒng)可信計算基通過自主完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。4.2 第二級 系統(tǒng)審計保護級與用戶自主保護級相比，本級的計算機信息系統(tǒng)可信計算基實施了粒度更細的自主訪問控制，它通過登 錄規(guī)程、審計安全性相關(guān)事件和隔離資源，使用戶對自己的行為負責(zé)。自主訪問控制 計算機信息系統(tǒng)可信計算基定義和控制系統(tǒng)中命名用戶對命名客體的訪問。實施機制（例如：訪問控制 表）允許命名用戶以用戶和 （或）用戶組的身份規(guī)定并控制客體的共享； 阻止非授權(quán)用戶讀取敏感信息 并控制訪問

6、權(quán)限擴散。自主訪問控制機制根據(jù)用戶指定方式或默認方式，阻止非授權(quán)用戶訪問客體。訪 問控制的粒度是單個用戶。沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對客體的訪問權(quán)。4.2.1 身份鑒別計算機信息系統(tǒng)可信計算基初始執(zhí)行時， 首先要求用戶標(biāo)識自己的身份， 并使用保護機制 （例如：口令） 來鑒別用戶的身份；阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。通過為用戶提供唯一標(biāo)識，計算機信息系 統(tǒng)可信計算基能夠使用戶對自己的行為負責(zé)。 計算機信息系統(tǒng)可信計算基還具備將身份標(biāo)識與該用戶所 有可審計行為相關(guān)聯(lián)的能力。4.2.2 客體重用在計算機信息系統(tǒng)可信計算基的空閑存儲客體空間中，對客體初始指定、分配或在分配一個主體之前，

7、 撤消該客體所含信息的所有授權(quán)。當(dāng)主體獲得對一個已被釋放的客體的訪問權(quán)時，當(dāng)前主體不能獲得原 主體活動所產(chǎn)生的任何信息。4.2.3 審計計算機信息系統(tǒng)可信計算基能創(chuàng)建和維護受保護客體的訪問審計跟蹤記錄， 并能阻止非授權(quán)的用戶對它 訪問或破壞。計算機信息系統(tǒng)可信計算基能記錄下述事件：使用身份鑒別機制；將客體引入用戶地址空間（例如：打 開文件、程序初始化）；刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實施的動作，以及 其他與系統(tǒng)安全有關(guān)的事件。對于每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、 事件是否成功。對于身份鑒別事件，審計記錄包含請求的來源（例如：終端標(biāo)識符）；對于客

8、體引入用 戶地址空間的事件及客體刪除事件，審計記錄包含客體名。對不能由計算機信息系統(tǒng)可信計算基獨立分辨的審計事件，審計機制提供審計記錄接口，可由授權(quán)主體 調(diào)用。這些審計記錄區(qū)別于計算機信息系統(tǒng)可信計算基獨立分辨的審計記錄。4.2.4 數(shù)據(jù)完整性計算機信息系統(tǒng)可信計算基通過自主完整性策略，組織非授權(quán)用戶修改或破壞敏感信息。4.3 第三級 安全標(biāo)記保護級本級的計算機信息系統(tǒng)可信計算基具有系統(tǒng)審計保護級的所有功能。 此外，還需提供有關(guān)安全策略模型、 數(shù)據(jù)標(biāo)記以及主體對客體強制訪問控制的非形式化描述，具有準(zhǔn)確地標(biāo)記輸出信息的能力；消除通過測 試發(fā)現(xiàn)的任何錯誤。4.3.1 自主訪問控制計算機信息系統(tǒng)可信

9、計算基定義和控制系統(tǒng)中命名用戶對命名客體地訪問。實施機制（例如：訪問控制 表）允許命名用戶以用戶和 （或）用戶組的身份規(guī)定并控制客體的共享； 阻止非授權(quán)用戶讀取敏感信息。并控制訪問權(quán)限擴散。自主訪問控制機根據(jù)用戶指定方式或默認方式，阻止非授權(quán)用戶訪問客體。訪問 控制的粒度是單個用戶。沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對客體的訪問權(quán)。阻止非授權(quán)用戶讀 取敏感信息。4.3.2 強制訪問控制計算機信息系統(tǒng)可信計算基對所有主體及其所控制的客體（例如：進程、文件、段、設(shè)備）實施強制訪 問控制。為這些主體及客體指定敏感標(biāo)記，這些標(biāo)記是等級分類和非等級類別的組合，它們是實施強制 訪問控制的依據(jù)。計算機信息

10、系統(tǒng)可信計算基支持兩種或兩種以上成分組成的安全級。計算機信息系統(tǒng) 可信計算基控制的所有主體對客體的訪問應(yīng)滿?。?僅當(dāng)主體安全級中的等級分類高于或等于客體安全級 中的等級分類， 且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別， 主體才能讀客體； 僅當(dāng)主體安全級中的等級分類低于或等于客體安全級中的等級分類， 且主體安全級中的非等級類別包含 于課題安全級中的非等級類別， 主體才能寫一個客體。 計算機信息系統(tǒng)可信計算基使用身份和鑒別數(shù)據(jù)， 鑒別用戶的身份，并保證用戶創(chuàng)建的計算機信息系統(tǒng)可信計算基外部主體的安全級和授權(quán)受該用戶的安 全級和授權(quán)的控制。4.3.3 標(biāo)記計算機信息系統(tǒng)可信計算基

11、應(yīng)維護與主體及其控制的存儲客體（例如：進程、文件、段、設(shè)備）相關(guān)的 敏感標(biāo)記。這些標(biāo)記是實施強制訪問的基礎(chǔ)。為了輸入未加安全標(biāo)記的數(shù)據(jù)，計算機信息系統(tǒng)可信計算 基向授權(quán)用戶要求并接受這些數(shù)據(jù)的安全級別，且可由計算機信息系統(tǒng)可信計算基審計。4.3.4 身份鑒別 計算機信息系統(tǒng)可信計算基初始執(zhí)行時，首先要求用戶標(biāo)識自己的身份，而且，計算機信息系統(tǒng)可信計 算基維護用戶身份識別數(shù)據(jù)并確定用戶訪問權(quán)及授權(quán)數(shù)據(jù)。 計算機信息系統(tǒng)可信計算基使用這些數(shù)據(jù)鑒 別用戶身份，并使用保護機制（例如：口令）來鑒別用戶的身份；阻止非授權(quán)用戶訪問用戶身份鑒別數(shù) 據(jù)。通過為用戶提供唯一標(biāo)識，計算機信息系統(tǒng)可信計算基能夠使用戶

12、對自己的行為負責(zé)。計算機信息 系統(tǒng)可信計算基還具備將身份標(biāo)識與該用戶所有可審計行為想關(guān)聯(lián)的能力。4.3.5 客體重用在計算機信息系統(tǒng)可信計算基的空閑存儲客體空間中，對客體初始指定、分配或再分配一個主體之前， 撤消客體所含信息的所有授權(quán)。當(dāng)主體獲得對一個已被釋放的客體的訪問權(quán)時，當(dāng)前主體不能獲得原主 體活動所產(chǎn)生的任何信息。4.3.6 審計計算機信息系統(tǒng)可心計算基能創(chuàng)建和維護受保護客體的訪問審計跟蹤記錄， 并能阻止非授權(quán)的用戶對它 訪問或破壞。計算機信息系統(tǒng)可信計算基能記錄下述事件：使用身份鑒別機制；將客體引入用戶地址空間（例如：打 開文件、程序初始化）；刪除客體；由操作員、系統(tǒng)管理員或（和）系

13、統(tǒng)安全管理員實施的動作，以及 其他與系統(tǒng)安全有關(guān)的事件。對于每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、 事件是否成功。對于身份鑒別事件，審計記錄包含請求的來源（例如：終端標(biāo)識符）；對于客體引入用 戶地址空間的事件及客體刪除事件，審計記錄包含客體名及客體的安全級別。此外，計算機信息系統(tǒng)可 信計算基具有審計更改可讀輸出記號的能力。對不能由計算機信息系統(tǒng)可信計算基獨立分辨的審計事件，審計機制提供審計記錄接口，可由授權(quán)主體 調(diào)用。這些審計記錄區(qū)別于計算機信息系統(tǒng)可信計算基獨立分辨的審計記錄。數(shù)據(jù)完整性 計算機信息系統(tǒng)可信計算基通過自主和強制完整性策略，阻止非授權(quán)擁護修改或破壞敏感信息

14、。在網(wǎng)絡(luò) 環(huán)境中，使用完整性敏感標(biāo)記來確信信息在傳送中未受損。4.4 第四級 機構(gòu)化保護級 本級的計算機信息系統(tǒng)可信計算基建立于一個明確定義的形式安全策略模型之上， 要求將第三級系統(tǒng)中 的自主和強制訪問控制擴展到所有主體與客體。此外，還要考慮隱蔽通道。本級的計算機信息系統(tǒng)可信 計算基必須結(jié)構(gòu)化為關(guān)鍵保護元素和非關(guān)鍵保護元素。 計算機信息系統(tǒng)可信計算基的借口也必須明確定 義，使其設(shè)計與實現(xiàn)能經(jīng)受更充分的測試和更完整的復(fù)審。加強了鑒別機制；支持系統(tǒng)管理員和操作員 的職能；提供可信設(shè)施管理；增強了配置管理控制。系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。4.4.1 自主訪問控制計算機信息系統(tǒng)可信計算基定義和控制系統(tǒng)中

15、命名用戶對命名客體的訪問。實施機制（例如：訪問控制 表）允許命名用戶和（或）以用戶組的身份規(guī)定并控制客體的共享；阻止非授權(quán)用戶讀取敏感信息。并 控制訪問權(quán)限擴散。自主訪問控制機制根據(jù)用戶指定方式或默認方式，阻止非授權(quán)用戶訪問客體。訪問控制的粒度是單個用 戶。沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對客體的訪問權(quán)。4.4.2 強制訪問控制計算機信息系統(tǒng)可信計算基對外部主體能夠或直接訪問的所有資源（例如：主體、存儲客體和輸入輸出 資源）實施強制訪問控制。 為這些主體及客體指定敏感標(biāo)記， 這些標(biāo)記是等級分類和非等級類別的組合， 它們是實施強制訪問控制的依據(jù)。計算機信息系統(tǒng)可信計算基支持兩種或兩種以上成分

16、組成的安全級。 計算機信息系統(tǒng)可信計算基外部的所有主體對客體的直接或間接的訪問應(yīng)滿足： 僅當(dāng)主體安全級中的等 級分類高于或等于客體安全級中的等級分類， 且主體安全級中的非等級類別包含了客體安全級中的全部 非等級類別，主體才能讀客體；僅當(dāng)主體安全級中的等級分類低于或等于客體安全級中的等級分類，且 主體安全級中的非等級類別包含與客體安全級中的非等級類別，主體才能寫一個客體。計算機信息系統(tǒng) 可信計算基使用身份和鑒別數(shù)據(jù)，鑒別用戶的身份，保證用戶創(chuàng)建的計算機信息系統(tǒng)可信計算基外部主 體的安全級和授權(quán)受該用戶的安全級和授權(quán)的控制。4.4.3 標(biāo)記計算機信息系統(tǒng)可心計算基維護與可被外部主體直接或間接訪問到

17、的計算機信息系統(tǒng)資源 （例如：主體、 存儲客體、只讀存儲器）相關(guān)的敏感標(biāo)記。這些標(biāo)記是實施強制訪問的基礎(chǔ)。為了輸入未加安全標(biāo)記的 數(shù)據(jù)，計算機信息系統(tǒng)可信計算基向授權(quán)用戶要求并接受這些數(shù)據(jù)的安全級別，且可由計算機信息系統(tǒng) 可信計算基審計。4.4.4 身份鑒別計算機信息系統(tǒng)可信計算基初始執(zhí)行時，首先要求用戶標(biāo)識自己的身份，而且，計算機信息系統(tǒng)可信計 算基維護用戶身份識別數(shù)據(jù)并確定用戶訪問權(quán)及授權(quán)數(shù)據(jù)。計算機信息系統(tǒng)可信計算基使用這些數(shù)據(jù)， 鑒別用戶身份，并使用保護機制（例如：口令）來鑒別用戶的身份：阻止非授權(quán)用戶訪問用戶身份鑒別 數(shù)據(jù)。通過為用戶提供唯一標(biāo)識， 計算機信息系統(tǒng)可信計算基能夠使用戶

18、所有可審計行為相關(guān)聯(lián)的能力。4.4.5 客體重用計算機信息系統(tǒng)可信計算基的空閑存儲客體空間中，對客體初始指定、分配或再分配一個主體之前，撤 消客體所含信息的所有授權(quán)。當(dāng)主體獲得對一個已被釋放的客體的訪問權(quán)時，當(dāng)前主體不能獲得原主體 活動所產(chǎn)生的任何信息。4.4.6 審計計算機信息系統(tǒng)可信計算基能創(chuàng)建和維護受保護客體的訪問審計跟蹤記錄， 并能阻止非授權(quán)的用戶對它 訪問或破壞。計算機信息系統(tǒng)可信計算基能記錄下述事件：使用身份鑒別機制；將客體引入用戶地址空間（例如：打 開文件、程序初始化）；刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實施的動作，以及 其他與系統(tǒng)安全有關(guān)的事件。對于每一事件，

19、其審計記錄包括：事件的日期和時間、用戶、事件類型、 事件是否成功。對于身份鑒別事件，審計記錄包含請求的來源（例如：終端標(biāo)識符）；對于客體引入用 戶地址空間的事件及客體刪除事件，審計記錄包含客體名及客體的安全級別。此外，計算機信息系統(tǒng)可 信計算基具有審計更改可讀輸出記號的能力。對不能由計算機信息系統(tǒng)可信計算基獨立分辨的審計事件，審計機制提供審計記錄接口，可由授權(quán)主體 調(diào)用。這些審計記錄區(qū)別于計算機信息系統(tǒng)可信計算基獨立分辨的審計記錄。計算機信息系統(tǒng)可信計算基能夠?qū)徲嬂锿[蔽存儲信道時可能被使用的事件。4.4.7 數(shù)據(jù)完整性計算機信息系統(tǒng)可信計算基通過自主和強制完整性策略，組織非授權(quán)用戶修改或破壞

20、敏感信息。在網(wǎng)絡(luò) 環(huán)境中，使用完整性敏感標(biāo)記來確信信息在傳送未受損。4.4.8 隱蔽信道分析系統(tǒng)開發(fā)者應(yīng)徹底搜索隱蔽存儲信道，并根據(jù)實際測量或工程估算確定每一個被標(biāo)識信道的最大帶寬。4.4.9 可信路徑對用戶的初始登錄和鑒別，計算機信息系統(tǒng)可信計算基在它與用戶之間提供可信通信路徑。該路徑上的 通信只能由該用戶初始化。4.5 第五級 訪問驗證保護級本級的計算機信息系統(tǒng)可信計算基滿足訪問控制器需求。訪問監(jiān)控器仲裁主體對客體的全部訪問。訪問 監(jiān)控器本身是抗篡改的；必須足夠小，能夠分析和測試。為了滿足訪問監(jiān)控器需求，計算機信息系統(tǒng)可 信計算基在其構(gòu)造時，排除那些對實施安全策略來說并非必要的代碼；在設(shè)計

21、和現(xiàn)實時，從系統(tǒng)工程角 度將其復(fù)雜性降低到最小程度。支持安全管理員職能；擴充審計機制，當(dāng)發(fā)生與安全相關(guān)的事件時發(fā)出 信號；提供系統(tǒng)恢復(fù)機制。系統(tǒng)具有很高的抗?jié)B透能力。4.5.1 自主訪問控制計算機信息系統(tǒng)可信計算基定義并控制系統(tǒng)中命名用戶對命名客體的訪問。實施機制（例如：訪問控制 表）允許命名用戶和（或）以用戶組的身份規(guī)定并控制客體的共享；阻止非用戶讀取敏感信息。并控制 訪問權(quán)限擴散。自主訪問控制機制根據(jù)用戶指定方式或默認方式，阻止非授權(quán)用戶訪問主體。訪問控制的粒度是單個用 戶。訪問控制能夠為每個命名客體指定命名用戶和用戶組，并規(guī)定他們對客體的訪問模式。沒有存取權(quán) 的用戶只允許由授權(quán)用戶指定對

22、客體的訪問權(quán)。4.5.2 強制訪問控制 計算機信息系統(tǒng)可信計算基對外部主體能夠直接或間接訪問的所有資源（例如：主體、存儲客體和輸入4.5.7 數(shù)據(jù)完整性輸出資源）實施強制訪問控制。為這些主體及客體指定敏感標(biāo)記，這些標(biāo)記是等級分類和非等級類別的 組合，它們是實施強制訪問控制的依據(jù)。計算機信息系統(tǒng)可信計算基外部的所有主體對客體的直接或間 接的訪問應(yīng)滿足：僅當(dāng)主體安全級中的等級分類高于或等于客體安全級中的等級分類，且主體安全級中 的非等級類別包含了客體安全級中的全部非等級類別，主體才能讀客體；僅當(dāng)主體安全級中的等級分類 低于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含于客體安全級中的

23、非等級類 別，主體才能寫一個客體。計算機信息系統(tǒng)可信計算基使用身份和鑒別數(shù)據(jù)，鑒別用戶的身份，保證用 戶創(chuàng)建的計算機信息系統(tǒng)可信計算基外部主體的安全級和授權(quán)受該用戶的安全級和授權(quán)的控制。4.5.3 標(biāo)記 計算機信息系統(tǒng)可信計算基維護與可被外部主體直接或間接訪問到的計算機信息系統(tǒng)資源 （例如：主體、 存儲客體、只讀存儲器）相關(guān)的敏感標(biāo)記。這些標(biāo)記是實施強制訪問的基礎(chǔ)。為了輸入未加安全標(biāo)記的 數(shù)據(jù)，計算機信息系統(tǒng)可信計算基向授權(quán)用戶要求并接受這些數(shù)據(jù)的安全級別，且可由計算機信息系統(tǒng) 可信計算基審計。4.5.4 身份鑒別 計算機信息系統(tǒng)可信計算基初始執(zhí)行時，首先要求用戶標(biāo)識自己的身份，而且，計算機信

24、息系統(tǒng)可信計 算基維護用戶身份識別數(shù)據(jù)并確定用戶訪問權(quán)及授權(quán)數(shù)據(jù)。計算機信息系統(tǒng)可信計算基使用這些數(shù)據(jù)， 鑒別用戶身份，并使用保護機制（例如：口令）來鑒別用戶的身份；阻止非授權(quán)用戶訪問用戶身份鑒別 數(shù)據(jù)。通過為用戶提供唯一標(biāo)識，計算機信息系統(tǒng)可信計算基能夠使用戶對自己的行為負責(zé)。計算機信 息系統(tǒng)可信計算基還具備將身份標(biāo)識與該用戶所有審計行為相關(guān)聯(lián)的能力。4.5.5 客體重用在計算機信息系統(tǒng)可信計算基的空閑存儲客體空間中，對客體初始指定、分配或在分配一個主體之前， 撤消客體所含信息的所有授權(quán)。當(dāng)主體獲得對一個已被釋放的客體的訪問權(quán)時，當(dāng)前主體不能獲得原主 體活動所產(chǎn)生的任何信息。4.5.6 審計計算機信息系統(tǒng)可信計算基能創(chuàng)建和維護受保護客體的訪問審計跟蹤記錄， 并能阻止非授權(quán)的用戶對它